Δευτέρα 7 Μαρτίου 2016

Όταν η νομοθεσία για την προστασία των προσωπικών Δεδομένων δρα ανασταλτικά




Όταν γίνεται λόγος, για την πολιτική και την προστασία των προσωπικών δεδομένων, και ιδιαίτερα το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα στο άρθρο 8, του Χάρτη της ΕΕ, το οποίο έχει παραμείνει σταθερά στα πλαίσια του νόμου της ΕΕ κατά τα τελευταία χρόνια. Το δικαίωμα αυτό, έπαιξε καθοριστικό ρόλο στις αποφάσεις του Δικαστηρίου της ΕΕ, όπου για πρώτη φορά ακυρώθηκε μια διάταξη του παράγωγου δικαίου για ασυμβατότητα με τον Χάρτη, Για πρώτη φορά, μια οδηγία ακυρώθηκε για τους ίδιους λόγους που έχει προταθεί. Ως εκ τούτου το ζήτημα της προστασίας των προσωπικών δεδομένων της ΕΕ, φαίνεται να μην περιέχει φραγμούς, αφήνοντας πίσω τα νομικά μέσα που δεν πληρούν τις αυστηρές προδιαγραφές του. Ωστόσο, υπό το πρίσμα των καλά τεκμηριωμένων γεγονότων, αξιοσημείωτες εξελίξεις σημειώθηκαν, στην Ολλανδία το 2015, όπου απαιτήθηκε από το δικαστήριο (ΔΕΚ), να αποσύρει προδικαστική παραπομπή, εξαλείφοντας έτσι την ευκαιρία, από το ίδιο το ΔΕΚ, να αποφανθεί κατά τη διακριτική ευχέρεια των εθνικών αρχών προστασίας των δεδομένων (ΑΠΔ). Το Δικαστήριο, ωστόσο, δεσμεύτηκε να παραδώσει μια σειρά από σημαντικές αποφάσεις, σχετικές με την προστασία των προσωπικών δεδομένων.

Όσον αφορά, την μεταφορά δεδομένων και το δικαίωμα στην ενημέρωση των υποκειμένων των προσωπικών δεδομένων. Σε αυτή την περίπτωση, ένας εθνικός οργανισμός φορολογικής διοίκησης είχε μεταφέρει τα δεδομένα που αφορούν το δηλωθέν εισόδημα των αυτοαπασχολούμενων ατόμων στο εθνικό ταμείο ασφάλισης υγείας. Αυτή η μεταφορά των δεδομένων είχε συμβεί χωρίς τη συναίνεση ή τη γνώση των σχετικών ατόμων και για σκοπούς άλλους, από εκείνους για τους οποίους τα δεδομένα, είχαν αρχικά κοινοποιηθεί στην εφορία. Από την άλλη πλευρά, η ρουμανική νομοθεσία επιτρέπει τη διαβίβαση συγκεκριμένων δεδομένων, από δημόσιους φορείς, προς τα ασφαλιστικά ταμεία και δεν προβλέπει ρητά τη μεταβίβαση των δεδομένων που σχετίζονται με το εισόδημα. Το δικαστήριο της ΕΕ κλήθηκε να εξετάσει το κατά πόσον τα προσωπικά δεδομένα που θα μπορούσαν να υποβληθούν σε επεξεργασία από τις αρχές, πλην εκείνων για τους οποίους απευθύνεται, όπου οι εργασίες αυτές να οδηγήσουν αναδρομικά σε οικονομική ζημία. Η «οικονομική απώλεια», δεν έχει καμία σχέση με τη νομιμότητα των πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Το ΔΕΕ, εξέτασε κατά πόσον οι διατάξεις της οδηγίας 1995, περί Προστασίας Δεδομένων (και στο εξής, οδηγία). Αποκλείουν εθνικά μέτρα που επιτρέπουν τις μεταφορές δεδομένων μεταξύ δημόσιων φορέων και την επακόλουθη επεξεργασία των δεδομένων χωρίς να ενημερώσουν το υποκείμενο των δεδομένων της μεταφοράς και της επεξεργασίας. Ιδιαίτερο ενδιαφέρον είχαν τα άρθρα 10 και 11 της οδηγίας που ορίζουν το δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων, καθώς και το άρθρο 13, το οποίο περιορίζει την εφαρμογή αυτού του δικαιώματος σε ορισμένες περιπτώσεις.

Αφού διαπιστώθηκε ότι, η μεταβίβαση συνιστούσε επεξεργασία δεδομένων προσωπικού χαρακτήρα, το Δικαστήριο αναγνώρισε ότι, προκειμένου να είναι νόμιμο, απαιτείται η μεταφορά των δεδομένων σε νομική βάση (σύμφωνα με το άρθρο 7 της οδηγίας), και έπρεπε να συμμορφώνονται με τις εγγυήσεις για την προστασία των δεδομένων του άρθρου 6 της οδηγίας. Αυτό που είναι εκπληκτικό, είναι πως, η επεξεργασία δεν θα μπορούσε να είναι νόμιμη αν δεν συμμορφωθούν με τα άρθρα 6 και 7, και δεν είναι σαφές από τα γεγονότα αν η μεταφορά δεδομένων συμμορφώθηκε με το άρθρο 6 (1) (β) σχετικά δηλαδή, με την αρχή του περιορισμού του σκοπού. Η αρχή αυτή ορίζει ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει να συλλέγονται για «καθορισμένους, ασφαλώς νόμιμους σκοπούς και η μεταγενέστερη επεξεργασία τους πρέπει να συμβιβάζεται με τους σκοπούς αυτούς». Δεν είναι σαφές αν η επεξεργασία προσωπικών δεδομένων για τους σκοπούς της αναγνώρισης, πρέπει να συμβάλλουν στην ασφάλιση της δημόσιας υγείας ή, είναι «ασυμβίβαστη» με την επεξεργασία των προσωπικών δεδομένων που προβλέπονται για φορολογικούς σκοπούς. Η γνωμοδότηση του Δικαστηρίου της ΕΕ, για το θέμα αυτό μπορεί να αποφανθεί με μεγαλύτερη σαφήνεια στην έννοια του «περιορισμού του σκοπού» ως προς τη νομοθεσία περί προστασίας δεδομένων της ΕΕ.

Το Δικαστήριο ωστόσο, αντί να εκτιμήσει τη συμβατότητα της μεταφοράς δεδομένων μεταξύ δημοσίων αρχών με τα δικαιώματα πληροφόρησης του υποκειμένου και των προσωπικών του δεδομένων (άρθρα 10 και 11), εξέτασε το κατά πόσον η απαλλαγή από τα δικαιώματα αυτά, εφαρμόζονται σύμφωνα με το άρθρο 13. Το Δικαστήριο τόνισε ότι, σύμφωνα με το άρθρο 10, το υποκείμενο των προσωπικών δεδομένων έχει ρητά το δικαίωμα στην πληροφόρηση σχετικά με τους «αποδέκτες ή, τις κατηγορίες αποδεκτών των δεδομένων», αν, οι πληροφορίες αυτές είναι απαραίτητες για την «διασφάλιση της θεμιτής επεξεργασίας των δεδομένων». Το Δικαστήριο έκρινε ότι αυτή η δίκαιη απαίτηση επεξεργασίας, που προβλέπεται στο άρθρο 6, εφαρμόζεται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα και, με τη σειρά της, επηρεάζει το δικαίωμα του υποκειμένου των προσωπικών δεδομένων, για πρόσβαση και να διορθώσει τα προσωπικά δεδομένα. Ως εκ τούτου, το Δικαστήριο κατέληξε στο συμπέρασμα ότι το άρθρο 6, ως προς την διασφάλισης «δικαιοσύνης», απαιτείται μια δημόσια διοίκηση, η οποία να ενημερώνει τα υποκείμενα των προσωπικών δεδομένων, για την μεταφορά των δεδομένων τους, σε άλλη δημόσια διοίκηση για περαιτέρω επεξεργασία. Ως εκ τούτου, οι ρουμανικές αρχές δεν πληρούν αυτή την προϋπόθεση, καθώς η ρουμανική νομοθεσία δεν προβλέπει τη μεταφορά των δεδομένων σχετικά με το εισόδημα των ταμείων ασφάλισης υγείας. Το εσωτερικό δίκαιο, ήταν συνεπώς ανεπαρκές, για να συμμορφωθεί με τις απαιτήσεις του άρθρου 10. Κατά συνέπεια, παρόμοια συλλογιστική εφαρμόστηκε και στο πλαίσιο του άρθρου 11.

Η απόφαση του Δικαστηρίου φαίνεται να στηρίζεται σε μια υπερβολικά αυστηρή ερμηνεία των άρθρων 10 και 11. Η διατύπωση των άρθρων 10 και 11 απαιτεί περαιτέρω πληροφορίες σχετικά με τους αποδέκτες των δεδομένων προσωπικού χαρακτήρα που πρέπει να παρέχονται στο υποκείμενο των δεδομένων, στο μέτρο που αυτές οι συμπληρωματικές πληροφορίες είναι απαραίτητες, για τη διασφάλιση της θεμιτής επεξεργασίας. Η οδηγία ορίζει επίσης ότι η εκτίμηση αυτή γίνεται, καθώς πρέπει να λαμβάνονται υπόψη οι «ειδικές συνθήκες υπό τις οποίες συλλέγονται τα δεδομένα». Φαίνεται ότι θα πρέπει να παρέχονται οι πληροφορίες αυτές μόνο όταν υπάρχει αδυναμία να παραχθεί δίκαιο χωρίς αυτά, ωστόσο, σύμφωνα με την ερμηνεία του Δικαστηρίου, η αρχή της επιείκειας στο άρθρο 6 απαιτεί πάντα την παροχή των εν λόγω πληροφοριών. Αυτό το εύρημα είναι επομένως, η γραμματική ερμηνεία της οδηγίας.

Στη συνέχεια, το Δικαστήριο εξέτασε αν το άρθρο 13, θα μπορούσε να απαλλάξει την αποτυχία του, να ενημερώσει τα υποκείμενα των προσωπικών δεδομένων, σχετικά με την μεταφορά μεταξύ των δημοσίων αρχών. Το Δικαστήριο σημείωσε ότι το άρθρο 13(ε), επιτρέπει στα κράτη μέλη να περιορίζουν (μεταξύ άλλων), το άρθρο 10, το δικαίωμα δηλαδή, όταν είναι αναγκαίο για τη διαφύλαξη «σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους», συμπεριλαμβανομένων και φορολογικών θεμάτων, ενώ το άρθρο 13(στ), παρέχει μια εξαίρεση, «ελέγχου, επιθεώρησης ή, ρυθμιστικών καθηκόντων που, συνδέονται με την άσκηση της εν λόγω αρχής. Ωστόσο, το Δικαστήριο τόνισε ότι, οι εν λόγω περιορισμοί πρέπει να επιβάλλονται με νομοθετικά μέτρα. Δεδομένου ότι, οι λεπτομερείς διατάξεις που διέπουν τη μεταφορά δεδομένων, καθορίστηκαν σε ένα πρωτόκολλο που έχει συναφθεί μεταξύ της φορολογικής αρχής και του ταμείου υγείας, και όχι σε ένα νομοθετικό μέτρο, το Δικαστήριο έκρινε ότι το άρθρο 13, και οι όροι του δεν πληρούνται.

Συνοπτικά, το Δικαστήριο έκρινε ότι, το ταμείο ασφάλισης υγείας, το οποίο έγινε υπεύθυνο επεξεργασίας δεδομένων, αφού έλαβε τα δεδομένα προσωπικού χαρακτήρα από τις φορολογικές αρχές, έκρινε ότι, δεν συμμορφώνεται με τις απαιτήσεις πληροφοριών δυνάμει του άρθρου 11 της οδηγίας. Το ταμείο υγείας δεν θα μπορούσε να επωφεληθεί από την απαλλαγή των πληροφοριών, καθώς, οι απαλλαγές δεν προβλέπονται στη ρουμανική νομοθεσία, όπως απαιτείται από την οδηγία. Ως εκ τούτου, το Δικαστήριο ενημέρωσε το εθνικό δικαστήριο ότι τα άρθρα 10, 11 και 13, της οδηγίας απαγορεύουν τη μεταφορά δεδομένων, όπως και αυτές μεταξύ των φορολογικών γραφείων και των ταμείων ασφάλισης υγείας, ως αποτέλεσμα της αποτυχίας να παρέχει στο υποκείμενο των δεδομένων, τις σχετικές πληροφορίες σχετικά με την επεξεργασία των προσωπικών δεδομένων.







 .


Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου